Zorun

**Nome do software vulnerável e versões afetadas** sileht bird-lg (versões afetadas não especificadas) **Descrição** Foi detectada uma falha no processamento do arquivo templates/layout.html, em que a manipulação do argumento `request args` leva a um ataque de script entre sites (XSS). O ataque pode ser iniciado remotamente. **Recomendações** Para corrigir este problema, recomenda-se aplicar um patch com o nome ef6b32c527478fefe7a4436e10b96ee28ed5b308. Como solução temporária, considere restringir a manipulação do argumento `request args` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do I Hate Money anteriores à 4.1.5 **Descrição** Um membro autenticado de um projeto pode modificar e excluir membros de outro projeto, sem ter conhecimento do código privado desse outro projeto. Isso pode ser explorado para acessar todas as contas de outro projeto sem ter conhecimento do código privado desse outro projeto. Com a configuração padrão, qualquer pessoa tem permissão para criar um novo projeto, tornando trivial para um invasor se autenticar e explorar essa falha. A vulnerabilidade pode ser explorada por meio de endpoints de API, como “PUT /api/projects/<project>/members/<personID>” e “DELETE /api/projects/<project>/members/<personID>”, bem como pela interface web em “/<project>/members/<personID>/edit”. **Recomendações** Para corrigir o problema, atualize para a versão 4.1.5. Como solução temporária, considere definir `ALLOW PUBLIC PROJECT CREATION = False` na configuração para limitar o impacto, embora os usuários existentes ainda possam explorar a falha.